Como a metodologia Security by Design está tornando a web mais segura
Já ouviu falar em Security by Design? Você certamente já deve ter percebido que o mundo está passando por uma fase transitória no que diz respeito aos temas de segurança cibernética e proteção de dados pessoais: o cidadão comum está cada vez mais consciente de seus direitos de privacidade na web; a transformação digital acelerada pela crise do novo coronavírus (SARS-CoV2) está incentivando empresas a modernizarem suas operações; entidades governamentais do mundo inteiro estão criando legislações para fiscalizar o uso ético de informações sensíveis da população, e assim por diante.
No meio dessa ampla discussão e da “digitalização” da sociedade, o Security by Design se torna ainda mais importante e se transforma em uma prática crucial para qualquer projeto ou empreendimento. Não estamos falando de uma solução ou arquitetura, mas sim de uma metodologia de desenvolvimento de softwares que prega a valorização da segurança em seu núcleo mais interno. A ideia é que a proteção dos dados seja uma prioridade desde os primórdios da criação do aplicativo, abrangendo desde as etapas iniciais de seu desenho e até as etapas finais da primeira compilação estável.
Antes de continuarmos, vale lembrar que, historicamente falando, softwares e sistemas quase nunca eram desenvolvidos com segurança cibernética em mente. Nas últimas duas décadas, o ato de programar ou até mesmo criar um website virou uma coisa razoavelmente simples. Os desenvolvedores, então, “se acostumaram” a priorizar outras questões, como interface/experiência do usuário, design e principalmente agilidade na entrega dos códigos. Com isso, a segurança foi sendo deixada de lado, e eventuais bugs ou vulnerabilidades seriam corrigidas posteriormente.
Privacidade nos primórdios
Porém, sabemos que hoje em dia a realidade é completamente diferente. Esse formato de desenvolvimento é um tanto perigoso, pois os criminosos cibernéticos são rápidos o suficiente para identificar os chamados zero days (vulnerabilidades que nem o fabricante conhece) e explorá-los para criar portas de entrada para malwares. Além disso, temos outro problema histórico que é a irreparável resistência dos usuários finais em instalar atualizações de softwares — há quem use até hoje versões antigas de sistemas operacionais por pura preguiça de passar pelo processo de instalação das novas, expondo-se a ameaças e riscos desnecessários.
Com a migração de sistemas para a nuvem, a chegada do 5G e a popularização do mercado de Internet das Coisas (IoT), teremos, ao longo dos próximos dez anos, uma quantidade cada vez maior de códigos sendo escrita diariamente. Não seria muito melhor para todo mundo se tais aplicações, sistemas e firmwares fossem projetados, desde o início, com foco na segurança de quem irá utilizá-lo?
Foi com base nessa mentalidade que surgiu a prática de Security by Design, que visa aproximar ainda mais a área de desenvolvimento com a de segurança da informação. O objetivo é que, com a priorização da segurança, novas aplicações sejam criadas da melhor forma possível para minimizar a superfície de ataques, reduzir ao máximo a coleta de dados pessoais (princípio da minimização) e chegar ao mercado com uma menor necessidade de patches de segurança. Existem alguns frameworks (ou seja, “modelos prontos”) de Security by Design que podem ser usados para guiar o desenvolvedor, mas nada que seja uma regra universal.
Útil para a LGPD
Como dissemos anteriormente, o Security by Design ganha força e importância principalmente com a chegada de legislações específicas de proteção de dados — aqui no Brasil, temos a Lei Geral de Proteção de Dados (LGPD). Pensando na segurança das informações sensíveis desde os primórdios de um projeto de software, você reduz drasticamente a chance de ser vítima de um vazamento (especialmente se respeitar o princípio de minimização de coleta).
